H3C路由器NAT配置实例

H3C MSR 路由器PPPOE+NAT+ 策略路由+QOS 配置实例[H3C]display current-configuration#version 5.20, Release 1719, Basic#sysname H3C#undo cryptoengine enable#firewall enable#domain default enable system#telnet server enable#qos carl 1 destination-ip-address range 192.168.3.2 to 192.168.3.254 per-addres sqos carl 2 source-ip-address range 192.168.3.2 to 192.168.3.254 per-address qos carl 3 destination-ip-address range 192.168.2.1 to 192.168.2.254 per-addres sqos carl 10 source-ip-address subnet 192.168.3.0 24 per-addressqos carl 20 destination-ip-address subnet 192.168.3.0 24 per-address#acl number 2000rule 0 permit source 192.168.3.0 0.0.0.255acl number 2222rule 0 permit source 192.168.3.0 0.0.0.255rule 5 permit source 192.168.2.0 0.0.0.255#acl number 3001rule 0 permit ip source 192.168.3.1 0.0.0.254acl number 3002rule 0 permit ip source 10.0.1.1 0.0.0.254acl number 3111rule 0 permit ip source 192.168.3.0 0.0.0.254acl number 3112rule 0 permit ip source 192.168.3.1 0.0.0.254acl number 3113rule 0 permit ip destination 192.168.2.0 0.0.0.255acl number 3114rule 5 permit ip source 192.168.3.180 0.0.0.3acl number 3333# vlan 1#conn ecti on-limit policy 1#domai n system access-limit disable state active idle-cut disable self-service-url disable # user-group system#local-user huaweipassword cipher N'C55QK<'=/Q=A Q'MAF4<1!!authorizati on-attribute level 3 service-type telnet# in terface AuxO async mode flow lin k-protocol ppp #in terface Dialerl nat outbou nd 2000 lin k-protocol pppppp pap local-user ************** ip address ppp-n egotiate load-bandwidth 2000 tcp mss 1024 dialer-group 1dialer user ****************dialer-group 1dialer bun dle 1#in terface Dialer2nat outbou nd 2000lin k-protocol pppppp pap local-user **************** ____ip address ppp-n egotiateload-bandwidth 2000tcp mss 1024dialer user **************dialer bun dle 2 in terface Dialer3 nat outbou nd 2000 lin k-protocol pppppp pap local-user **************** ____ip address ppp-n egotiateload-ba ndwidth 2000tcp mss 1024dialer user *************dialer-group 1dialer bun dle 3#in terface Ethernet。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联 nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NA T 拓扑图如下所示：Client_pc RTBRTA说明：由于条件有限，所以这里直接把一个路由器当做PC 来做，给定路由器RT1更改其名字为client_pc ，设置其与RTA 直连的接口的ip ，并配置默认路由到RTA 上去。

客户PC 配置如下所示：<RT1>sysSystem View: return to User View with Ctrl+Z.[RT1]sysname client_pc[client_pc]interface Serial 0/2/0[client_pc-Serial0/2/0]ip address 10.0.0.1 24[client_pc-Serial0/2/0]quit[client_pc]ip route-static 0.0.0.0 0 10.0.0.254%Oct 11 19:43:54:266 2011 client_pc IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UPRTA 配置如下所示：<RT2>sysSystem View: return to User View with Ctrl+Z.[RT2]sysname RTA[RTA]interface Serial 0/2/0[RTA-Serial0/2/0]ip address 10.0.0.254 24[RTA-Serial0/2/0]%Oct 11 19:44:09:563 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTA-Serial0/2/0]quit[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]ip address 198.76.28.1 24[RTA]nat address-group 1 198.76.28.11 198.76.28.11[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255[RTA-acl-basic-2000]quit[RTA]ip route-static 0.0.0.0 0 198.76.28.2[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]nat outbound 2000 address-group 1[RTA-Serial0/2/2]quit[RTA]%Oct 11 19:46:16:813 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/2 is UPRTB配置如下所示：<RT3>sysSystem View: return to User View with Ctrl+Z.[RT3]sys[RT3]sysname RTB[RTB]interface Serial 0/2/0[RTB-Serial0/2/0]ip address 198.76.28.2 24[RTB-Serial0/2/0]%Oct 11 19:46:05:78 2011 RTB IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTB-Serial0/2/0]quit[RTB]interface LoopBack 0[RTB-LoopBack0]ip address 198.76.29.1 32[RTB-LoopBack0]quit用客户机ping外网地址测试配置结果：[client_pc]ping 198.76.29.1PING 198.76.29.1: 56 data bytes, press CTRL_C to breakReply from 198.76.29.1: bytes=56 Sequence=1 ttl=254 time=4 ms Request time outReply from 198.76.29.1: bytes=56 Sequence=3 ttl=254 time=10 ms Reply from 198.76.29.1: bytes=56 Sequence=4 ttl=254 time=5 ms Reply from 198.76.29.1: bytes=56 Sequence=5 ttl=254 time=60 ms--- 198.76.29.1 ping statistics ---5 packet(s) transmitted4 packet(s) received20.00% packet lossround-trip min/avg/max = 4/19/60 ms[client_pc]查看NAT转换状态如下所示：[RTA]display nat statisticstotal PAT session table count: 1total NO-PAT session table count: 0total SERVER session table count: 0total STATIC session table count: 0total FRAGMENT session table count: 0total session table count HASH by Internet side IP: 0active PAT session table count: 1active NO-PAT session table count: 0active FRAGMENT session table count: 0active session table count HASH by Internet side IP: 0[RTA]display nat sessThere are currently 1 NAT session:Protocol GlobalAddr Port InsideAddr Port DestAddr Port1 198.76.28.11 12288 10.0.0.1 256 198.76.29.1 256 VPN: 0, status: 11, TTL: 00:01:00, Left: 00:00:46[RTA]。

H3C+NAT+配置⽅法4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应⽤层⽹关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最⼤连接数限制配置报⽂匹配⽅式配置地址转换表项的⽼化刷新速度4.3.1 配置地址池地址池是⼀些连续的IP地址集合，当内部数据包通过地址转换到达外部⽹络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池说明：NAT地址池中的地址不应包含公⽹主机已使⽤的地址，否则会造成地址冲突。

如果防⽕墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使⽤接⼝地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进⾏地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接⼝地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报⽂”才可以使⽤“这样的地址池中的地址（或接⼝地址）”。

当内部⽹络有数据包要发往外部⽹络时，⾸先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接⼝地址）进⾏转换。

不同形式的地址转换，配置⽅法稍有不同。

1. Easy IP如果地址转换命令不带address-group 参数，即仅使⽤nat outbound acl-number 命令，则实现了easy-ip 的特性。

地址转换时，直接使⽤接⼝的IP 地址作为转换后的地址，利⽤访问控制列表控制哪些地址可以进⾏地址转换。

表4-2 配置Easy IP2. 使⽤指定loopback 接⼝进⾏地址转换表4-3 使⽤指定loopback 接⼝进⾏地址转换匹配访问控制列表的数据报⽂的源地址将转换为指定的loopback 接⼝的IP 地址。

3. 配置静态地址转换表(1)配置⼀对⼀静态地址转换表表4-4 配置⼀对⼀地址转换(2) 配置静态⽹段地址转换表使⽤静态⽹段地址转换时，只进⾏⽹段地址的转换，⽽保持主机地址不变。

4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应用层网关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最大连接数限制配置报文匹配方式配置地址转换表项的老化刷新速度4.3.1 配置地址池地址池是一些连续的IP地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池操作命令定义一个地址池nat address-group group-number start-addr end-addr删除一个地址池undo nat address-group group-number 说明：NAT地址池中的地址不应包含公网主机已使用的地址，否则会造成地址冲突。

如果防火墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使用接口地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址（或接口地址）”。

当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。

不同形式的地址转换，配置方法稍有不同。

1. Easy IP如果地址转换命令不带address-group参数，即仅使用nat outbound acl-number命令，则实现了easy-ip的特性。

地址转换时，直接使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。

表4-2 配置Easy IP2. 使用指定loopback接口进行地址转换表4-3 使用指定loopback接口进行地址转换匹配访问控制列表的数据报文的源地址将转换为指定的loopback接口的IP地址。

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。

1、配置内网接口（Ethernet0/0）：[MSR20-20] interface Ethernet0/0[MSR20-20- Ethernet0/0]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20]dhcp server ip-pool 1[MSR20-20-dhcp-pool-1]network 192.168.1.0 24[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1三、配置步骤：设备和版本：MSR系列、version 5.20, R1508P02二、组网图：三、配置步骤：适用设备和版本：MSR系列、Version 5.20, Release 1508P022)要把一些固定的IP地址，如DNS服务器地址、域名服务器地址、WINS服务器地址禁止用于自动分配。

3)配置好地址池及相关服务器地址后，一定要在系统视图下使能DHCP服务功能。

MSR系列路由器GRE隧道基础配置关键字：MSR;GRE;隧道一、组网需求：Router A 、Router B两台路由器通过公网用GRE实现私网互通。

设备清单：MSR系列路由器2台二、组网图：四、配置关键点：1)两端的隧道地址要处于同一网段；2)不要忘记配置通过tunnel访问对方私网的路由。

L2TP 穿过NAT接入LNS功能配置关键字：MSR;L2TP;VPN;NAT;LNS一、组网需求：移动用户通过L2TP客户端软件接入LNS以访问总部内网，但LNS的地址为内网地址，需要通过NAT服务器后才能接入。

选择“连接到我的工作场所”，单击下一步选择“虚拟专用网络连接”，单击下一步输入连接名称“l2tp”，单击下一步选择“不拨初始连接”，单击下一步选择LNS的服务器地址1.1.1.1，单击下一步选择“不使用我的智能卡”，单击下一步单击完成，此时就会出现名为l2tp的连接，如下：单击属性按钮，修改连接属性，要与LNS端保持一致，如下：在属性栏里选择“安全”，选择“高级”－>“设置”，如下:选择“允许这些协议”－>“不加密的密码（PAP）(U)”,单击确定。

H3C SR8800-X NAT配置举例Copyright © 2015杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 使用限制 (1)4 NAT配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (2)4.3 使用版本 (2)4.4 配置步骤 (2)4.5 验证配置 (4)4.6 配置文件 (6)5 相关资料 (7)1 简介本文介绍NAT配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

3 使用限制•目前除SPC-CP2LA和SPC-CP2LB单板外，其他业务板都可以提供NAT处理。

实现NAT功能时，需要配置QoS策略将流量入接口收到的报文重定向到出接口上指定的提供NAT处理的业务板，这样流量才会进行NAT处理。

关于Qos策略的相关介绍请参见“ACL和QoS配置指导”中的“QoS”。

•NAT功能目前仅在独立运行模式下支持。

4 NAT配置举例4.1 组网需求如图1所示，某公司内网地址是10.110.0.0/22，向运营商申请的公网地址是61.16.0.1～61.16.0.3。

公司内网用户使用10.110.0.0～10.110.2.255地址段内IP地址；公司内网目前共有3台FTP服务器可以同时提供服务，服务器使用10.110.3.1～10.110.3.3的IP地址。

要求实现如下功能：•内网用户经过地址转换后使用61.16.0.2～61.16.0.3公网地址访问Internet；•外网主机和内网主机都可以通过61.16.0.1访问内网中的FTP服务器；•3台FTP服务器提供服务时进行负载分担，但不允许主动访问外网。

H3C-NAT命令配置配置地址池：<H3C>system-view[H3C]nat address-group group-number start-add end-add 配置一对一静态地址转换1.<H3C>system-view[H3C]nat static local-ip(本地IP) global-ip(通用IP)[H3C]interface (端口号)[H3C-inter]nat outbound static (把这个端口设置为出站)2.<H3C>system-view[H3C]interface nat interface-number[H3C-NAT]nat static local-ip golbal-ip[H3C-NAT]quit[H3C]interface (端口号)[H3C-INT]nat outbound static (把这个端口设置为出站) cisco:ip nat inside source static local-ip global-ipint (端口号)ip nat insideint (端口号)ip nat outside配置网段对静态地址的转换1.<H3C>system-view[H3C]interface nat interface-number[H3C-NAT]nat static net-to-net local-network global-network[H3C-NAT]quit[H3C]interface (接口地址号)[H3C-int]nat outbound static (把这个端口设置为出站)2.<H3C>system-view[H3C]nat static net-to-net local-start-address local-end-address global global-network[H3C]interface (端口号)[H3C-INT]nat outbound static (把这个端口设置为出站)配置动态NAT1.EASY IP<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number [next-hop ip-address(可选，按设备定)]2.NOPAT<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number address-group group-number nopat或者在入接口配置[H3C-INT]nat inbound acl-number address-group group-number nopat3.NAPT<H3C>system-view[H3C]interface (端口号)[H3C-INT]nat outbound acl-number address-group group-number或者在入接口配置[H3C-INT]nat inbound acl-number address-group group-number。

H3C- 路由器双出口NAT服务器的典型配置在公司或者组织中，我们通常需要一个网络管理工具，这个工具可以管理和监控网络中的所有设备，保证网络的安全和稳定性。

其中，路由器双出口NAT服务器是一种非常常见的网络管理工具。

本文将介绍 H3C 路由器双出口 NAT 服务器的典型配置方法。

前置条件在进行配置之前，需要确保以下条件：•路由器需要复位为出厂设置状态。

•电脑需要连接到路由器的任意一口网卡上。

•管理员需要知道所需配置的类型和参数。

网络环境在这里，我们假设 LAN 网段为 192.168.1.0/24，WAN1 网卡 IP 地址为10.0.0.1/24，WAN2 网卡 IP 地址为 20.0.0.1/24。

配置步骤步骤1 分别配置两个 WAN 口•登录到 H3C 路由器上，使用管理员权限。

•分别进入 WAN1 和 WAN2 的配置页面，输入以下指令：interface GigabitEthernet 0/0/0undo portswitchip address 10.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CNinterface GigabitEthernet 0/0/1undo portswitchip address 20.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CN步骤2 配置路由策略•在路由器上进入配置模式，输入以下指令：ip route-static 0.0.0.0 0.0.0.0 10.0.0.254ip route-static 0.0.0.0 0.0.0.0 20.0.0.254 preference 10route-policy Wan1 permit node 10route-policy Wan2 deny node 20interface GigabitEthernet 0/0/0ip policy route-map Wan1interface GigabitEthernet 0/0/1ip policy route-map Wan2步骤3 配置防火墙•进入防火墙配置页面，输入以下指令：user-interface vty 0 4protocol inbound sshacl number 3000rule 0 permit source 192.168.1.0 0.0.0.255rule 5 permit source 10.0.0.0 0.0.0.255rule 10 permit source 20.0.0.0 0.0.0.255firewall packet-filter 3000 inbound步骤4 配置虚拟服务器•进入虚拟服务器配置页面，输入以下指令：ip name-server 192.168.1.1acl name WAN1rule 0 permit destination 10.0.0.0 0.255.255.255rule 5 denyacl name WAN2rule 0 permit destination 20.0.0.0 0.255.255.255rule 5 denyip netstream inboundip netstream export source 192.168.1.1 9991ip netstream timeout active-flow 30flow-export destination 192.168.1.2 9991flow-export enable结论以上是 H3C 路由器双出口 NAT 服务器的典型配置方法，这套配置可以满足大部分企业网络环境的需求。

H3C路由NAT地址转换典型配置举例地址转换典型配置举例1. 公司内部服务器通过地址转换后访问Internet(1) 组网需求一个公司通过路由器的地址转换后连接到广域网。

要求该公司能够通过路由器的串口S0 访问Internet，公司内部对外提供WWW、FTP 和SMTP 服务，而且提供两台WWW服务器。

公司内部网址为10.110.0.0/16。

公司有202.38.160.101～202.38.160.103 三个合法的公网IP 地址。

内部FTP 服务器地址为10.110.10.1，使用202.38.160.101 的公网地址，内部WWW服务器1 地址为10.110.10.2；内部WWW服务器2 的地址为10.110.10.3，采用8080 端口，两台WWW 服务器都使用202.38.160.102 的公网地址。

内部SMTP 服务器地址为10.110.10.4，并希望可对外提供统一的服务器的IP 地址，使用202.38.160.103 的公网地址。

公网地址内部10.110.10.0/24 网段的PC 机可访问Internet，其它网段的PC 机则不能访问Internet。

外部PC 机可以访问内部的服务器。

(3) 配置步骤# 配置地址池和地址列表[Router] nat address-group 202.38.160.101 202.38.160.103 pool1[Router] acl 2000[Router-acl-2000]rule permit source 10.110.10.0 0.0.0.255 # 允许10.110.10.0/24 的网段进行地址转换[Router-Serial0] nat outbound 2000 address-group pool# 设置内部FTP 服务器[Router-Serial0] nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp# 设置内部WWW服务器1[Router-Serial0] nat server global 202.38.160.102 inside 10.110.10.2 www tcp# 设置内部WWW服务器2[Router-Serial0] nat server global 202.38.160.102 8080 inside 10.110.10.3 wwwtcp# 设置内部SMTP 服务器[Router-Serial0] nat server global 202.38.160.103 inside 10.110.10.4 smtp udp内部局域网通过地址转换后拨号访问Internet(1) 组网需求一个公司的内部局域网能通过路由器的地址转换后，经串口S0 拨号访问Internet(3) 配置步骤# 配置地址访问控制列表和dialer-list[Router] acl 2000[Router-acl-2000] rule permit source 10.110.10.0 0.0.0.255[Router] dialer-rule 1 acl 2000# 配置接口拨号属性[Router-Serial0] physical-mode async[Router-Serial0] link-protocol ppp[Router-Serial0] ip address ppp-negotiate[Router-Serial0] ppp pap local-user 169 password simple 169[Router-Serial0] modem[Router-Serial0] dialer enable-circular[Router-Serial0] dialer-group 1[Router-Serial0] dialer number 169# 将地址转换列表与接口关联[Router-Serial0] nat outbound 2000 interface# 配置一条到Serial 0 的缺省路由[Router] ip route-static 0.0.0.0 0.0.0.0 serial 0。

H3C路由器之NAT+端口映射实战实践环境就一台H3C路由器外网接Internet，新联通的静态IP接入。

内网直联非网管交换机。

配置如下：[RouterGate]display current-configuration#sysname RouterGate //路由器的名字cpu-usage cycle 1min#radius scheme system#domain system#local-user root //远程登录的用户名password simple xxxxxx //远程登录的明文密码service-type telnetlevel 3 //远程登录的权限等级（0-3）3是最高权限#acl number 2001 //定义ACL2001（2000-2999是基本ACL） rule 0 permit source 192.168.1.0 0.0.0.255 //ACL的0号规则允许源地址的网段访问#interface Aux0async mode flow#interface Ethernet0/0description LANip address 192.168.1.1 255.255.255.0#interface Ethernet0/1description ISPip address 218.xx.yy.34 255.255.255.252 //xx和yy处是为此公司地址保密nat outbound 2001 // 绑定的ACL2001可以访问出去nat server protocol tcp global 218.xx.yy.34 www inside 192.168.1.4 www //开启端口映 nat server protocol tcp global 218.xx.yy.34 ftp inside 192.168.1.4 ftp ///射到.4服务器#interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 218.xx.yy.33 preference 60 //默认路由user-interface con 0user-interface aux 0user-interface vty 0 4 //设置上面定义的vty用户名密码登录生效authentication-mode scheme#return。

H3C-NAT实验要求1）R1和R2为华三路由器，Internet为思科路由，配置R1、R2和Internet的接口IP并打开接口，保证直连IP之间能互相ping通。

2）在R1上做静态地址转换，保证R2能PING通Internet的Lo0。

3）在R1上做地址池开启NAT，保证R2能PING通Internet的Lo0。

4）在R1上开启端口复用，保证R2能PING通Internet的Lo0。

实验步骤1．R1和R2为华三路由器，R3为思科路由，配置R1、R2和R3的接口IP并打开接口，保证直连IP之间能互相ping通。

[R1]interface e0/0[R1-Ethernet0/0]ip add 12.x.1.1 24[R1-Ethernet0/0]undo shutdown[R1-Ethernet0/0]quit[R1]int e0/0.x[R1-Ethernet0/0.x]vlan-type dot1q vid x[R1-Ethernet0/0.x]ip add 192.168.1.254 24[R1-Ethernet0/0.x]quit[R2]int e0/0[R2-Ethernet0/0]undo shutdown[R2-Ethernet0/0]quit[R2]int e0/0.x[R2-Ethernet0/0.x]vlan-type dot1q vid x[R2-Ethernet0/0.x]ip add 192.168.1.1 24[R2-Ethernet0/0.x]quitInternet(config)#int fa0/0Internet(config-if)#ip add 12.x.1.2 255.255.255.0Internet(config-if)#no shutdownInternet(config-if)#exitInternet(config)#int lo0Internet(config-if)#ip add 2.2.2.2 255.255.255.255Internet(config-if)#exit做下面实验前，先在R1上指定一条向Internet的默认路由，R2上指定网关。

H3C路由器+三层交换机NAT共享上网配置MSR 20-21 配置<H3C>disp curr#version 5.20, Release 1205, Standard#sysname H3C#super password level 3 cipher G/&,*9)@%QN"AOJR+IZST1!!#firewall enable#domain default enable system#dns resolvedns server 202.96.128.166dns server 202.96.128.86dns server 202.96.134.133#telnet server enable#dialer flow-interval 60dialer-rule 1 ip permit#vlan 1#radius scheme systemserver-type extendedprimary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#traffic classifier bt operator andif-match protocol bittorrent#traffic behavior 64Kcar cir 64 cbs 4000 ebs 0 green pass red discardtraffic behavior 64k#qos policy kill-btclassifier bt behavior 64K#local-user userlevel 3local-user telnetpassword cipher [email=]'GO3ZRV/6@"HX_%XPA3ZF1[/email]!! service-type telnet terminallevel 3#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255rule 5 deny#acl number 3001rule 0 deny udp destination-port eq tftprule 2 deny udp destination-port eq 135rule 3 deny udp destination-port eq netbios-ns rule 4 deny udp destination-port eq netbios-dgm rule 5 deny tcp destination-port eq 139rule 6 deny udp destination-port eq netbios-ssn rule 7 deny tcp destination-port eq 445rule 8 deny udp destination-port eq 445rule 9 deny tcp destination-port eq 539rule 10 deny udp destination-port eq 539rule 11 deny udp destination-port eq 593rule 12 deny tcp destination-port eq 593rule 13 deny udp destination-port eq 1434rule 14 deny udp destination-port eq 1433rule 15 deny tcp destination-port eq 4444rule 16 deny tcp destination-port eq 9996rule 17 deny tcp destination-port eq 5554rule 18 deny udp destination-port eq 9996rule 19 deny udp destination-port eq 5554rule 20 deny tcp destination-port eq 137rule 21 deny tcp destination-port eq 138rule 23 deny udp destination-port eq 1025 rule 24 deny tcp destination-port eq 9995 rule 25 deny udp destination-port eq 9995 rule 26 deny tcp destination-port eq 1068 rule 27 deny udp destination-port eq 1068 rule 28 deny tcp destination-port eq 1023 rule 29 deny udp destination-port eq 1023 rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmprule 200 deny tcp destination-port eq www rule 202 deny tcp destination-port eq ftp rule 204 deny tcp destination-port eq 3389 rule 205 permit tcp destination-port eq telnet acl number 3002rule 0 deny udp destination-port eq tftprule 1 deny tcp destination-port eq 135rule 2 deny udp destination-port eq 135rule 3 deny udp destination-port eq netbios-ns rule 4 deny udp destination-port eq netbios-dgm rule 5 deny tcp destination-port eq 139rule 6 deny udp destination-port eq netbios-ssn rule 7 deny tcp destination-port eq 445rule 8 deny udp destination-port eq 445rule 9 deny tcp destination-port eq 539rule 10 deny udp destination-port eq 539rule 11 deny udp destination-port eq 593rule 12 deny tcp destination-port eq 593rule 13 deny udp destination-port eq 1434rule 14 deny udp destination-port eq 1433rule 15 deny tcp destination-port eq 4444rule 16 deny tcp destination-port eq 9996rule 17 deny tcp destination-port eq 5554rule 18 deny udp destination-port eq 9996rule 19 deny udp destination-port eq 5554rule 20 deny tcp destination-port eq 137rule 21 deny tcp destination-port eq 138rule 22 deny tcp destination-port eq 1025rule 23 deny udp destination-port eq 1025rule 24 deny tcp destination-port eq 9995 rule 25 deny udp destination-port eq 9995 rule 26 deny tcp destination-port eq 1068 rule 27 deny udp destination-port eq 1068 rule 28 deny tcp destination-port eq 1023 rule 29 deny udp destination-port eq 1023 rule 30 permit tcp destination-port eq telnet rule 141 deny udp source-port eq bootps rule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-reply rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmprule 170 permit ip source 192.168.0.12 0 rule 171 permit ip source 192.168.0.73 0 rule 172 permit ip source 192.168.0.58 0 rule 173 permit ip source 192.168.0.3 0 rule 174 permit ip source 192.168.0.39 0 rule 175 permit ip source 192.168.0.72 0 rule 177 permit ip source 192.168.0.25 0 rule 178 permit ip source 192.168.0.27 0 rule 179 permit ip source 192.168.0.54 0rule 181 permit ip source 192.168.0.53 0 rule 182 permit ip source 192.168.0.22 0 rule 183 permit ip source 192.168.0.34 0 rule 184 permit ip source 192.168.0.46 0 rule 185 permit ip source 192.168.0.59 0 rule 186 permit ip source 192.168.0.174 0 rule 187 permit ip source 192.168.0.153 0 rule 188 permit ip source 192.168.0.66 0 rule 189 permit ip source 192.168.0.21 0 rule 190 permit ip source 192.168.0.61 0 rule 191 permit ip source 192.168.0.24 0 rule 192 permit ip source 192.168.0.40 0 rule 193 permit ip source 192.168.0.65 0 rule 194 permit ip source 192.168.0.16 0 rule 195 permit ip source 192.168.0.51 0 rule 196 permit ip source 192.168.0.48 0 rule 197 permit ip source 192.168.0.42 0 rule 198 permit ip source 192.168.0.57 0 rule 199 permit ip source 192.168.0.110 0 rule 200 permit ip source 192.168.0.52 0rule 202 permit ip source 192.168.0.69 0 rule 203 permit ip source 192.168.0.60 0 rule 204 permit ip source 192.168.0.68 0 rule 205 permit ip source 192.168.0.23 0 rule 206 permit ip source 192.168.0.62 0 rule 207 permit ip source 192.168.0.82 0 rule 208 permit ip source 192.168.0.47 0 rule 209 permit ip source 192.168.0.170 0 rule 210 permit ip source 192.168.0.144 0 rule 211 permit ip source 192.168.0.143 0 rule 212 permit ip source 192.168.0.8 0 rule 213 permit ip source 192.168.0.188 0 rule 214 permit ip source 192.168.0.11 0 rule 215 permit ip source 192.168.0.20 0 rule 216 permit ip source 192.168.0.13 0 rule 217 permit ip source 192.168.0.17 0 rule 218 permit ip source 192.168.0.4 0 rule 219 permit ip source 192.168.0.14 0 rule 1000 deny ip#interface Aux0async mode flowlink-protocol ppp#interface Dialer0nat outbound 2000firewall packet-filter 3001 inboundlink-protocol pppppp chap user xxxppp chap password cipher JBa(VNaE:+7Q=^Q`MAF4<1!!ppp pap local-user xxx password cipher JBa(VNaE:+7Q=^Q`MAF4<1!! ppp ipcp dns admit-anytimer hold 0shutdownip address ppp-negotiatetcp mss 1024dialer user onedialer-group 1dialer bundle 1dialer timer idle 0#interface Dialer1nat outbound 2000link-protocol pppppp chap user xxxppp chap password cipher 4P6A.RLAC1KQ=^Q`MAF4<1!!ppp pap local-user xxx password cipher 4P6A.RLAC1KQ=^Q`MAF4<1!! timer hold 0ip address ppp-negotiatetcp mss 1024dialer user twodialer-group 1dialer bundle 2dialer timer idle 0#interface Ethernet0/0port link-mode routepppoe-client dial-bundle-number 1qos apply policy kill-bt inboundqos apply policy kill-bt outboundstandby interface Dialer1standby bandwidth 2000dar protocol-statistic flow-interval 5#interface Ethernet0/1port link-mode routepppoe-client dial-bundle-number 2 qos apply policy kill-bt inboundqos apply policy kill-bt outbound standby interface Dialer0standby bandwidth 2000dar protocol-statistic flow-interval 5#interface NULL0#interface Vlan-interface1ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3002 inbound#interface Ethernet0/2port link-mode bridge#interface Ethernet0/3port link-mode bridge#interface Ethernet0/4port link-mode bridge#interface Ethernet0/5port link-mode bridge#interface Ethernet0/6port link-mode bridge#interface Ethernet0/7port link-mode bridge#interface Ethernet0/8port link-mode bridge#interface Ethernet0/9port link-mode bridge#ip route-static 0.0.0.0 0.0.0.0 Dialer0ip route-static 0.0.0.0 0.0.0.0 Dialer1 preference 80 #dhcp server detect#arp source-suppression enablearp static 192.168.0.47 0050-ba69-7510arp static 192.168.0.110 0011-2feb-c14farp static 192.168.0.16 0011-2f0f-8781arp static 192.168.0.23 0050-ba26-748barp static 192.168.0.65 000e-a639-c159arp static 192.168.0.144 0005-5de1-c57farp static 192.168.0.48 0011-d82b-4d65arp static 192.168.0.22 0013-8fc1-4768arp static 192.168.0.27 000e-a69a-ac3carp static 192.168.0.61 5254-ab59-2d38arp static 192.168.0.25 0011-d82b-4d8darp static 192.168.0.24 0013-8fc1-479darp static 192.168.0.21 0000-e8a4-1a27arp static 192.168.0.57 0013-8fb2-a30barp static 192.168.0.59 000e-a617-c920arp static 192.168.0.12 0013-8fab-b404arp static 192.168.0.52 000e-a68a-96d3 arp static 192.168.0.54 000e-a68a-9568 arp static 192.168.0.62 0005-5d04-4b51 arp static 192.168.0.53 0011-d89e-6c91 arp static 192.168.0.40 000e-a63c-6991 arp static 192.168.0.82 0005-5d73-6259 arp static 192.168.0.69 000c-7635-1f11 arp static 192.168.0.100 000a-eb07-34a1 arp static 192.168.0.60 0005-5de1-ce2e arp static 192.168.0.153 0011-2f04-71a4 arp static 192.168.0.42 0013-d41c-8488 arp static 192.168.0.68 0005-5d66-8d4f arp static 192.168.0.170 0005-5d67-88bc arp static 192.168.0.66 0040-0547-0822 arp static 192.168.0.73 0013-20b1-7ea5 arp static 192.168.0.179 000e-a638-fba4 arp static 192.168.0.8 000e-7f26-4194 arp static 192.168.0.39 000e-a6b0-a72a arp static 192.168.0.58 0050-ba1a-ac9d arp static 192.168.0.160 000c-6e57-7005arp static 192.168.0.3 000e-7f25-a0a0 arp static 192.168.0.32 0050-ba26-79e1 arp static 192.168.0.237 0011-2f1b-5193 arp static 192.168.0.240 0000-b4c9-dad3 arp static 192.168.0.161 000e-a639-c1ba arp static 192.168.0.143 0005-5d66-8e8b arp static 192.168.0.96 00ae-2801-062b arp static 192.168.0.166 0005-5d05-3fec arp static 192.168.0.7 000e-a69e-e3ce arp static 192.168.0.72 000e-a6c8-4220 arp static 192.168.0.111 000e-a691-9a89 arp static 192.168.0.214 0000-e8a3-b33e arp static 192.168.0.31 0011-d89e-6dd8 arp static 192.168.0.154 000e-a672-cff8 arp static 192.168.0.156 000e-a639-c161 arp static 192.168.0.174 000e-a617-ab21 arp static 192.168.0.150 0005-5dff-b72c arp static 192.168.0.76 0005-5de1-c56c arp static 192.168.0.210 0011-95fd-bc13 arp static 192.168.0.188 0019-d246-2ac8arp static 192.168.0.229 0000-e8a3-b160 arp static 192.168.0.163 000e-a679-0064 arp static 192.168.0.158 000e-a672-d45a arp static 192.168.0.187 0005-5d73-625b arp static 192.168.0.17 000d-6078-f79a arp static 192.168.0.213 00e0-4c31-ec4a arp static 192.168.0.85 0005-5d0d-b39b arp static 192.168.0.228 0050-ba22-ca12 arp static 192.168.0.140 000c-6e7c-5f13 arp static 192.168.0.56 5254-ab53-5b11 arp static 192.168.0.46 000e-a68b-7f18 arp static 192.168.0.43 0013-d41c-81c6 arp static 192.168.0.239 0011-d814-6010 arp static 192.168.0.151 0011-2f04-71c0 arp static 192.168.0.238 0050-ba27-a58c arp static 192.168.0.4 000f-2032-0a51 arp static 192.168.0.75 0050-ba68-74ea arp static 192.168.0.14 000e-a617-aafe arp static 192.168.0.86 000e-a69e-e3de arp static 192.168.0.108 0013-ce16-f22darp static 192.168.0.67 000a-eb7a-3290 arp static 192.168.0.34 0019-6608-a460 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode schemeprotocol inbound telnet#return。

H3C MSR路由器双出口NAT服务器的典型配置一、需求：MSR的G0/0连接某学校内网,G5/0连接电信出口，G5/1连接教育网出口,路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。

电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络,会被电信过滤。

该校内网服务器192。

168.34.55需要对外提供访问，其域名是test。

h3c。

,对应DNS解析结果是211。

1.1。

4。

先要求电信主机和校园网内部主机都可以通过域名或211。

1。

1。

4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络.设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version 5。

20，Release 1205P01后所有版本。

四、配置关键点:1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211。

1.1。

4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3）策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4）在G0/0应用2个NAT的作用是使内网可以通过访问211.1。

1。

4访问内部服务器test。

cn，如果只使用NAT Outbound Static，那么内部主机192.168。

1。

199发送HTTP请求的源、目的地址对<192。

168。

1.199, 211.1。

1.4〉会变成〈192。

168.1。

199,192.168。

34.55>然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对<192.168.34。

H3C路由器NAT配置实例H3C路由器NAT配置实例NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。

当访问Internet 的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录;之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的'目的地址再替换回原来的私网地址，并送回发出请求的主机。

这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。

H3C NAT配置：1、配置静态地址转换：一对一静态地址转换：[system] nat static ip-addr1 ip-addr2静态网段地址转换：[system] nat static net-to-net inside-start-address inside-end-address global global-address mask 应用到接口： [interface]nat outbound static2、多对多地址转换：[interface]nat outbound acl-number address-group group-number no-pat3、配置NAPT：[interface]nat outbound acl-number [ address-group group-number ]两个特殊的NAPT：Easy IP： [interface]nat outbound acl-number (转化为接口地址)Lookback：[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址)4、双向地址转换：[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令)5、配置内部服务器：[interface]nat server6、地址转换应用层网关：[system]nat alg (专门针对ftp之类对NAT敏感的协议)。

NAT配置一、实验目的掌握Basic NAT的配置方法掌握NAPT的配置方法掌握Easy IP的配置方法掌握NAT Server的配置方法二、实验描述及组网图网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。

Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。

jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。

公网jiance3上loopback 0是一个公网接口地址，作为公网服务器测试。

三、实验过程实验任务一：配置Basic NAT本实验中，实现私网主机PC_A和PC_B访问公网服务器220.1.1.1，通过在jiance2上配置在Basic NAT，动态的为私网主机分配公网地址。

步骤一：搭建实验环境依照拓扑图搭建实验环境。

步骤二：基本配置为PC_A配置IP地址为192.168.1.100/24，网关为192.168.1.1；配置PC_B的IP 地址为192.168.2.100/24，网关为192.168.2.1；为jiance1，jiance2，jiance3各接口配置IP地址，并且确认各设备间直连网络能相互ping通。

IP地址配完后在jiance1, jiance2静态配置私网内各网段的路由及默认路由，确保PC_A，PC_B能ping通200.1.1.1。